Checklist Audit RGPD : 40 Points de Contrôle

Cette checklist complète recense les 40 points essentiels à vérifier lors d'un audit RGPD de votre site web. Chaque point est classé par catégorie et niveau de criticité pour vous permettre de prioriser vos corrections.

40
Points de contrôle
8
Catégories
15
Points critiques
2h
Temps estimé

Vérifiez Automatiquement Ces 40 Points

Notre outil analyse votre site en 2 minutes

Lancer le Diagnostic Gratuit
🍪
Cookies et Traceurs
8 points - 68% des sanctions CNIL
  • Aucun cookie avant consentement CRITIQUE Vérifiez qu'aucun script (Google Analytics, Facebook Pixel, etc.) ne se charge avant que l'utilisateur clique sur "Accepter".
  • Bandeau cookies présent CRITIQUE Un bandeau doit s'afficher dès la première visite pour informer et recueillir le consentement.
  • Bouton "Refuser" visible CRITIQUE Le bouton "Refuser" ou "Continuer sans accepter" doit être aussi visible et accessible que "Accepter".
  • Pas de cases pré-cochées CRITIQUE Les catégories de cookies (sauf strictement nécessaires) ne doivent pas être pré-cochées.
  • Paramétrage granulaire disponible IMPORTANT L'utilisateur doit pouvoir choisir les catégories de cookies qu'il accepte (analytique, publicitaire, etc.).
  • Information sur les finalités IMPORTANT Le bandeau doit expliquer clairement à quoi servent les cookies (mesure d'audience, publicité ciblée...).
  • Possibilité de retirer son consentement IMPORTANT Un lien vers les paramètres cookies doit être accessible (footer ou bouton flottant).
  • Durée de vie des cookies conforme RECOMMANDÉ Les cookies ne doivent pas dépasser 13 mois (recommandation CNIL). Le consentement doit être redemandé après ce délai.
📜
Politique de Confidentialité
8 points - Article 13 RGPD
  • Politique de confidentialité présente CRITIQUE Une page dédiée à la politique de confidentialité doit exister et être accessible.
  • Accessible en 1 clic CRITIQUE Lien visible dans le footer de toutes les pages du site.
  • Identité du responsable CRITIQUE Nom de l'entreprise, adresse, contact clairement indiqués.
  • Finalités des traitements CRITIQUE Expliquer pourquoi chaque donnée est collectée (gestion des commandes, newsletter, etc.).
  • Base légale indiquée IMPORTANT Préciser la base juridique de chaque traitement (consentement, contrat, intérêt légitime...).
  • Durées de conservation IMPORTANT Indiquer combien de temps chaque donnée est conservée.
  • Droits des personnes CRITIQUE Mentionner les droits (accès, rectification, suppression, portabilité, opposition) et comment les exercer.
  • Droit de réclamation CNIL IMPORTANT Mentionner la possibilité de saisir la CNIL en cas de litige.
📝
Formulaires de Collecte
6 points
  • Mentions d'information sous les formulaires IMPORTANT Chaque formulaire doit indiquer la finalité et renvoyer vers la politique de confidentialité.
  • Newsletter : case non pré-cochée CRITIQUE L'inscription à la newsletter doit résulter d'une action positive (case à cocher).
  • Consentements séparés IMPORTANT Un consentement = une finalité. Pas de case unique pour newsletter ET partenaires.
  • Minimisation des données IMPORTANT Ne collecter que les données strictement nécessaires à la finalité.
  • Champs obligatoires/facultatifs distincts RECOMMANDÉ Indiquer clairement quels champs sont obligatoires (astérisque ou mention).
  • Double opt-in pour newsletter RECOMMANDÉ Email de confirmation avant inscription effective (bonne pratique, non obligatoire).
🔒
Sécurité des Données
5 points - Article 32 RGPD
  • HTTPS sur toutes les pages CRITIQUE Toutes les pages doivent être en HTTPS, pas seulement les pages de paiement.
  • Certificat SSL valide CRITIQUE Pas d'avertissement de sécurité dans le navigateur, certificat non expiré.
  • Pas de contenu mixte IMPORTANT Pas d'éléments HTTP (images, scripts) chargés sur une page HTTPS.
  • Redirection HTTP vers HTTPS IMPORTANT Les URL en HTTP doivent automatiquement rediriger vers HTTPS.
  • Headers de sécurité RECOMMANDÉ HSTS, X-Frame-Options, X-Content-Type-Options, CSP (optionnel mais recommandé).
⚖️
Mentions Légales
4 points - LCEN
  • Page mentions légales présente CRITIQUE Obligatoire pour tout site professionnel (LCEN).
  • Identification de l'éditeur CRITIQUE Raison sociale, adresse du siège, SIRET, capital social (pour les sociétés).
  • Directeur de publication IMPORTANT Nom du directeur de publication (généralement le dirigeant).
  • Hébergeur identifié IMPORTANT Nom et adresse de l'hébergeur du site.
🌍
Transferts Hors UE
4 points
  • Services US identifiés IMPORTANT Lister tous les services américains utilisés (Google, Facebook, AWS, Mailchimp...).
  • Clauses contractuelles types (CCT) IMPORTANT Vérifier que vos prestataires US ont signé les clauses contractuelles types de l'UE.
  • Mention dans la politique IMPORTANT Informer les utilisateurs des transferts hors UE et des garanties mises en place.
  • Alternatives européennes évaluées RECOMMANDÉ Envisager des alternatives UE si possible (Matomo vs GA, Brevo vs Mailchimp...).
👤
Droits des Personnes
3 points
  • Procédure d'exercice des droits claire IMPORTANT Expliquer comment contacter le responsable pour exercer ses droits (email dédié, formulaire).
  • Email de contact RGPD IMPORTANT Adresse email fonctionnelle pour les demandes RGPD (ex: rgpd@entreprise.fr).
  • Délai de réponse < 1 mois CRITIQUE Obligation légale de répondre aux demandes d'exercice des droits sous 1 mois maximum.
📋
Documentation Interne
2 points (hors scope audit web)
  • Registre des traitements IMPORTANT Document listant tous les traitements de données (obligatoire, non vérifiable automatiquement).
  • Contrats sous-traitants (art. 28) IMPORTANT Contrats avec tous les prestataires traitant des données pour votre compte.

Automatisez Votre Audit RGPD

Notre outil vérifie automatiquement 127 points en 2 minutes

Lancer le Diagnostic Gratuit

Comment Utiliser Cette Checklist ?

Étape 1 : Priorisez les Points Critiques

Commencez par vérifier tous les points marqués CRITIQUE. Ce sont ceux qui représentent le plus grand risque de sanction CNIL.

Étape 2 : Traitez les Points Importants

Passez ensuite aux points IMPORTANT. Ils sont nécessaires pour une conformité complète.

Étape 3 : Optimisez avec les Recommandations

Les points RECOMMANDÉ améliorent votre conformité mais ne sont pas strictement obligatoires.

Conseil : Utilisez notre outil de diagnostic automatique pour vérifier rapidement les points techniques (cookies, HTTPS, politique de confidentialité). Réservez la vérification manuelle aux points organisationnels.

Ressources Complémentaires